Les smart cities n'en font pas assez pour leur cybersécurité
La ville est-elle vraiment intelligente si elle n'est pas sécurisée ? En France comme ailleurs, les projets de smart city fleurissent pour automatiser les services de la ville et en créer de nouveaux. Mais dans la course à l'innovation que mènent les communes et les entreprises qui leur proposent leurs solutions, la sécurité passe parfois au second plan.
Les technologies de smart city sont relativement jeunes. Elles peuvent donc comporter des bugs et failles de sécurité dont des pirates pourraient profiter. Des limitations techniques peuvent aussi empêcher cette sécurisation. Par exemple, certains objets connectés sont conçus pour consommer le moins de ressources possibles. Ils ne sont pas assez puissants pour supporter une technologie de chiffrement qui permettrait de sécuriser leurs communications.
Déjà des attaques isolées
Jusqu'ici, aucune ville n'a été touchée par une cyberattaque d'ampleur qui s'attaquerait à plusieurs services publics interconnectés. "Il n'y a pas encore d'incitation," affirme Cesar Cerrudo, directeur technique d'IO Active Labs, une société de recherche et de consulting en cybersécurité "Les cybercriminels choisissent des cibles faciles pour se faire de l'argent. Attaquer une ville revient à attaquer un Etat, c'est risqué." Ce qui laisse tout de même la possibilité d'une attaque par d'autres acteurs, comme des activistes ou des Etats.
Des événements isolés donnent cependant un avant-goût du potentiel de piratage d'une smart city. En 2008, un adolescent polonais a hacké le système de gestion des trams de la ville de Lodz et a réussi à modifier leurs trajets avec une simple télécommande, provoquant le déraillement de quatre véhicules et faisant 12 blessés. Après avoir été piraté une première fois en décembre 2015, causant des coupures d'électricité de plusieurs heures en plein hiver, le réseau électrique ukrainien a été de nouveau attaqué avec succès un an plus tard. Et en avril dernier, une attaque informatique a réveillé les habitants de Dallas un samedi matin au son des 156 sirènes d'alerte de la ville.
Tous les systèmes informatiques de la smart city ne présentent pas les mêmes risques, nuance Yves Verhoeven, sous-directeur relations extérieures et coordination à l'ANSSI, l'agence qui assure la cybersécurité de l'Etat. "Ce n'est pas pareil d'aborder des systèmes susceptibles de provoquer une atteinte à l'intégrité des personnes qu'un système qui donne les jours et horaires de fermeture des services publics." L'ANSSI estime qu'il faut focaliser les efforts de sécurisation sur les objets connectés de type actionneurs, qui ont des conséquences physiques sur la ville (gestion de l'eau, électricité, transports…).
Des systèmes informatiques fragmentés
Pour Thierry Bonhomme, directeur général adjoint d'Orange Business Services, qui fournit des solutions B2B de cybersécurité et de smart cities, le danger vient surtout du fait que la plupart des projets de smart city n'ont pas une approche globale. "Différents projets avec différentes entreprises se lancent en silo dans une même ville : l'un va s'occuper du contrôle de l'air, un autre de l'éclairage public, un troisième du trafic etc." Tout est plus simple lorsque différents aspects de la ville intelligente sont regroupés au sein d'un même projet, assure Thierry Bonhomme, en prenant l'exemple de Doha (Qatar), où Orange gère "de bout en bout" l'installation de 500 000 capteurs pour connecter un quartier du centre-ville.
Cette solution intégrée a ses inconvénients, lui répond Yves Verhoeven. "Si on part vers une intégration complète, il y aura une meilleure homogénéité des systèmes. Mais le prestataire peut devenir trop puissant et mieux connaître les besoins de la population que l'élu." A l'inverse, les systèmes fragmentés entre différents prestataires sont plus ouverts, mais ne fonctionneront qu'à condition de mettre en place une véritable cybergouvernance. Car gérer différents systèmes et assurer leur interopérabilité est "un défi", reconnaît Yves Verhoeven.
Se préparer au pire
Pour faire face à ces menaces, Il existe un certain nombre de bonnes pratiques à adopter. Avant d'être implémentée dans une ville, chaque technologie doit être inspectée et testée. "Il faut penser à la cybersécurité dès le début d'un projet, car c'est très compliqué de l'intégrer plus tard", met en garde Hervé Debar, professeur à Télécom SudParis, responsable du département réseau et de la formation cybersécurité. Il est aussi important de mettre en place un chiffrement des communications de la smart city. Le cloisonnement est crucial pour éviter une contagion : les systèmes ne doivent communiquer les uns avec les autres que si c'est nécessaire, et ces échanges doivent être surveillés. La préparation d'un plan d'urgence détaillant la réaction à adopter en cas d'attaque est également conseillée.
Le sujet commence tout de même à être pris en compte. Singapour, l'une des smart cities les plus avancées, a mis en place certaines de ces mesures. Après avoir lancé un vaste audit de cybersécurité en 2012 dans 11 secteurs dont les infrastructures sont jugées cruciales (transports, énergie, télécoms, finance…), la collectivité a annoncé en 2016 le déploiement d'un programme de protection de celles-ci. Il inclut pour les services publics et entreprises de ces secteurs, des évaluations de risques et de vulnérabilités régulières, des plans pour assurer la restauration et la continuité des services qui seraient attaqués, des exercices de cybersécurité réguliers ainsi qu'une sensibilisation et des formations de tous les personnels à ces problématiques. Afin d'identifier les menaces en amont, Singapour dispose également d'un centre de recherche en cybersécurité. Et lorsqu'il est trop tard pour prévenir un incident, des équipes gouvernementales de "cyber réponse" sont disponibles pour gérer les conséquences d'une attaque. La comparaison de Singapour avec d'autres municipalités est cependant difficile, car sa situation de ville-État centralisée rend sa sécurisation bien plus simple, estime Hervé Debar.
IoT bon marché, smart city mal sécurisée
Des initiatives apparaissent aussi aux Etats-Unis, où 21 villes ont adopté en septembre 2016 un ensemble de lignes directrices censées guider leur déploiement de l'Internet des objets et garantir la sécurité de leurs infrastructures. Mais ces principes, établis par la mairie de New York en s'inspirant de bonnes pratiques observées dans une cinquantaine de villes, n'ont rien de contraignants. Ils n'ont d'ailleurs pas empêché le métro de San Francisco, l'une des villes signataires, d'être piraté à peine un mois plus tard. Le hacker s'est introduit dans les systèmes informatiques de l'opérateur du métro et a chiffré certaines de ses données, demandant une rançon pour les décrypter. L'opérateur a refusé de payer, mais a dû par précaution couper les bornes d'achat de billets et laisser les habitants prendre le métro gratuitement pendant trois jours, le temps de déjouer l'attaque.
"Il y a une croissance de la prise en compte du risque informatique, y compris dans le domaine des smart cities", reconnaît Hervé Debar. "Mais la cybersécurité des smart cities se heurte aussi à une logique de coût pour les collectivités", poursuit-il. "Par exemple, Il y a des certifications qui garantissent la sécurité des objets, mais elles sont chères et facultatives. Les villes qui ont peu d'argent peuvent être attirées par un objet connecté non certifié et peu cher." Un cadre de certification européen, censé réduire ces coûts pour les entreprises et rendre certaines certifications obligatoires, est en préparation. En attendant, Cesar Cerrudo est plutôt pessimiste. Pour lui, rien ne changera jusqu'à ce qu'un piratage d'ampleur frappe une ville. "Les possibilités sont là. Si quelqu'un décidait de le faire, il pourrait y arriver."